-
-
[求助]我的LoadLibraryA函数变了?
-
发表于:
2006-10-6 13:13
3957
-
今天无意中发现在我的OD中一些系统函数的代码变了(我记得以前看过的代码不是这样的):
这是LoadLibraryA的代码:
7C882F9A 0000 ADD BYTE PTR DS:[EAX],AL
7C882F9C LoadLibraryA 55 PUSH EBP
7C882F9D 8BEC MOV EBP,ESP
7C882F9F 90 NOP
7C882FA0 5D POP EBP
7C882FA1 - E9 7FFBA377 JMP F42C2B25
7C882FA6 90 NOP
7C882FA7 90 NOP
7C882FA8 90 NOP
7C882FA9 90 NOP
7C882FAA 90 NOP
7C882FAB 90 NOP
7C882FAC 90 NOP
7C882FAD 90 NOP
7C882FAE 90 NOP
7C882FAF 90 NOP
7C882FB0 LoadLibraryExA 55 PUSH EBP
7C882FB1 8BEC MOV EBP,ESP
7C882FB3 90 NOP
7C882FB4 5D POP EBP
7C882FB5 - E9 ADFDA377 JMP F42C2D67
7C882FBA 90 NOP
7C882FBB 90 NOP
7C882FBC 90 NOP
这是GetProcAddress的代码:
7C882FEC GetProcAddress 55 PUSH EBP
7C882FED 8BEC MOV EBP,ESP
7C882FEF 90 NOP
7C882FF0 5D POP EBP
7C882FF1 - E9 99FEA377 JMP F42C2E8F
7C882FF6 90 NOP
7C882FF7 90 NOP
7C882FF8 90 NOP
7C882FF9 90 NOP
请问这是怎么回事,这些API代码中大部分都被抽取到高位地址去了(JMP FXXXXXXX),怎么还原?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
